Local blog for Italian speaking developers
Espansione dei programmi bug bounty su Google Play
11 settembre 2019
Pubblicato da Adam Bacchus, Sebastian Porst e Patrick Mutchler - Android Security & Privacy
Siamo sempre in cerca di modi nuovi per migliorare ulteriormente la sicurezza e la privacy dei nostri prodotti, nonché degli ecosistemi che supportano. Noi di Google comprendiamo la potenzialità di piattaforme ed ecosistemi aperti e che le idee migliori non sempre vengono dall'interno. È per questo motivo che offriamo una vasta gamma di programmi di riconoscimento vulnerabilità, incoraggiando la community ad aiutarci a migliorare la sicurezza per tutti. Oggi stiamo incrementando questi sforzi grazie ad alcuni grandi cambiamenti apportati al
Google Play Security Reward Program (GPSRP)
e grazie al lancio del nuovo
Developer Data Protection Reward Program (DDPRP)
.
Estensione dell'ambito di interesse del Google Play Security Reward Program
Stiamo estendendo l'ambito di interesse del GPSRP in modo da includere tutte le app presenti su Google Play con almeno 100 milioni di installazioni. Queste app sono ora idonee per i riconoscimenti, anche qualora gli sviluppatori non dispongano del proprio programma bug bounty o di segnalazione delle vulnerabilità. In questi casi, Google aiuta a segnalare in modo responsabile le vulnerabilità identificate allo sviluppatore dell'app interessata. Questo apre la porta ai ricercatori sulla sicurezza per aiutare centinaia di organizzazioni a identificare e correggere eventuali vulnerabilità nelle loro app. Se gli sviluppatori dispongono già dei propri programmi, i ricercatori possono raccogliere i riconoscimenti direttamente da loro e sommarli a quelli ottenuti da Google. Incoraggiamo gli sviluppatori di app a disporre del proprio programma bug bounty o di segnalazione delle vulnerabilità così da lavorare direttamente con la community dei ricercatori sulla sicurezza.
I dati sulle vulnerabilità ottenuti dal GPSRP aiutano Google a creare controlli automatici in grado di scansionare tutte le app disponibili su Google Play per escludere che siano interessate da vulnerabilità simili. Gli sviluppatori delle app interessate vengono informati tramite la Play Console come parte del programma
App Security Improvement (ASI)
, il quale fornisce informazioni sulla vulnerabilità e su come correggerla. Da quando è attivo, il programma ASI ha aiutato oltre 300.000 sviluppatori a correggere più di 1.000.000 di app su Google Play. Solo nel 2018, ha aiutato oltre 30.000 sviluppatori a correggere più di 75.000 app. L'effetto downstream fa sì che queste 75.000 app vulnerabili non vengono distribuite agli utenti fino alla correzione del problema.
Ad oggi, le ricompense offerte dal GPSRP per la segnalazione dei bug hanno superato i 265.000 dollari. Le recenti
estensioni dell'ambito di interesse e dei riconoscimenti
hanno visto come risultato un totale di 75.500 dollari in riconoscimenti solo tra luglio e agosto. Con questi cambiamenti, possiamo prevedere un ulteriore coinvolgimento della community di ricercatori sulla sicurezza nella volontà di supportare il successo del programma.
Presentazione del Developer Data Protection Reward Program
Oggi, lanceremo anche il
Developer Data Protection Reward Program
. Il DDPRP è un programma bounty, in collaborazione con HackerOne, pensato per identificare e mitigare i problemi di abuso dei dati nelle app Android, nei progetti OAuth e nelle estensioni di Chrome. Questo programma
riconosce
il contributo degli individui che aiutano a segnalare le app che violano le norme dei programmi di Google Play, Google API o delle estensioni del Google Chrome Web Store.
Il programma prevede una ricompensa per chiunque fornisca prove verificabili e incontestabili circa l'abuso di dati, secondo un principio di base analogo ad altri modelli di riconoscimento vulnerabilità di Google. Nello specifico, il programma mira a identificare situazioni in cui i dati degli utenti vengono utilizzati o venduti in modo inatteso o riproposti illegittimamente senza il consenso dell'utente. Qualora l'abuso di dati identificato coinvolga un'app o un'estensione di Chrome, quell'app o estensione sarà rimossa da Google Play o dal Google Chrome Web Store. Nel caso di uno sviluppatore di app che abusi dell'accesso agli ambiti con restrizioni di Gmail, il suo accesso all'API sarà rimosso. Sebbene attualmente non sia disponibile una tabella dei riconoscimenti o un limite massimo per i riconoscimenti, in base all'impatto, una singola segnalazione può prevedere anche una ricompensa di 50.000 dollari.
Non vediamo l'ora di scoprire le novità che i ricercatori ci presenteranno in questi ultimi mesi del 2019. Ringraziamo l'intera community per il contributo offerto per mantenere le nostre piattaforme e i nostri sistemi sicuri. Che la caccia al bug abbia inizio!
Etichette
Android
Firebase
machine learning
Google Cloud Platform
GDL
Eventi
Google Developers Live
Google Play
TensorFlow
App
Chrome
Cloud
api
GDLItalia
GDE
GDG
Google Assistant
iOS
Kotlin
Actions on Google
Deep Learning
AppEngine
AMP
BigQuery
Cloud Functions
Flutter
Android Studio
Google Developers Expert
Università
Google AppEngine
JavaScript
AI
Android Wear
GAE
Google Play Store
HTML5
Maps
security
Android App Development
AngularJS
IoT
Kubernetes
Annunci
Cloud Firestore
Cloud Machine Learning
Google I/O
Polymer
Android Things
Community
DevTools
Google App Engine
intelligenza artificiale
Entrepreneurship
Firebase Analytics
GSoC
Games
Google Cast
ML
open source
Crashlytics
Dart
Diversity
Drive
Google Data Studio
Google Play Games
TensorFlow Lite
Android Developers
Android O
Cloud Spanner
Cloud TPU
Compute Engine
DevFest
Google Compute Engine
Google Developers
Material Design
Mobile
PWA
Python
Startup
AIY Project
ARCore
Android Jetpack
AndroidDev
Androidq
Apps Script
Artificial Intelligence
Augmented Reality
Firebase Cloud Messaging
Google Cloud
Google Maps
Gsuite
IO19
ML kit
Research
VR
coding
unity
#io19
AR
Android Dev Summit
Android Developer
Android Q
Cardboard
Cloud AI
Coral
Developers
Dialogflow
Firebase Realtime Database
Gmail
Google AI
Google Cloud Messaging
Google ContainerEngine
Google Play Console
Kotlin Coroutines
NLP
Programming
Responsive Design
TensorFlowjs
Testing
WTM
Women
beacons
cloud storage
developer
node JS
student programs
women techmakers
API Cloud Vision
Add-ons
Android P
AndroidDevStory
Animation
AutoML
Brillo
Classroom
DSC
Database
Developer Student Clubs
Edge TPU
Fabric
Featured
Flutter Web
G Suite
GWT
GoLang
Google
Google Brain
Google Cloud Next
Google Container Engine
Google Developer Groups
Google I/O Extended
Graph
Hosting
Instant Apps
Keras
Livedata
Mobile Sites
Prediction
Privacy
Project Tango
SDK
Stackdriver
Tales
UI
Udacity
Virtual Reality
Web
Web Development
YouTube
analytics
android security
api.ai
courses
google io
indies
natural language processing
reti neurali
sign-in
young developers
2d Animation
3d
AIY
ARkit
Adversarial Learning
Alpha
Android App
Android App Developmen
Android App bundle
Android Architecture
Android Architecture Components
Android Auto
Android Automotive OS
Android Dev Summit Android Developer
Android Developer Challenge
Android Developers GooglePlayAwards
Android Development
Android Go
Android Instant App
Android Pie
Android Q Scoped Storage
Android Q audio
Android Styles
Android audio playback capture
Android codelabs
AndroidTV
AndroidX
Angular
Aogdevs
Api Design
App Development
App Distribution
Apps
Architecture
Architecture Components
Arduino
Best Practices
Betatesting
Bugs
C++
Certification
Cloud Anchors
Cloud Next
Cloud Run
Cloud Service Platform
Cloud Shell
Cloud Study Jam
Coached Conversational Preference Elicitation
Commerce
Community Connector
Computer Science
Consistency
Containers
Converge
Conversation Design
Crash Reporting
DLS Design
Dagger
Data Science
Databases
Dependency Injection
Design
Developer Communities
Developer Community
Developer Culture
Developer Story
Developing Media Apps
Development
Eager
Edge TPU Dev Board
Education
Emulatore Android
Error Message
Eslint
Europe
Firebase Extensions
Firebase Summit 2019
Firebasehosting
Flutter 1.5
Flutter at IO
FlutterDark
GCE
GDD
Game Development
Gboard
Gesture Navigation
Glass
Go
Google AI Quantum
Google App Script
Google Cloud Functions
Google Cloud billing
Google Coral
Google Developer Days
Google Home Hub
Google IOS Android
Google Identity Platform
Google Launchpad
Google Lens
Google Now
Google Photos
Google Play Devs
Google Play Indie Games Festival
Google Play Instant
Google Plus
Google codelabs
Google+
GoogleDevWeekly
GoogleLaunchpad
GooglePlay
Graphics
Healthcare
I/O
IO
IO19 Flutter
In-app Billing
Indie Games
Indie Games Festival
Indie games showcase
Indie showcase
Ingress
Instant Games
Issues
Java
Jetpack
Knative
Kotlin Beginners
Kotlin Everywhere
Kotlin codelabs
Lighthouse
Live Caption
Live Streaming
Localization
Location
M-Theory
Mondaygram
Monetization
NYT
NativeScript
Navigation
Neural Graph Learning
Neural Structured
Nodejs
OS
OS Updates
Olivex
One Time Codes
Online Education
PHA
Performance Monitoring
Policy
Posenet
Project Mainline
Project Treble
Quantum Computing Theory
Reactive Programming
Regression
Remote Config
Resonance Audio
Room
Scoped Storage
Semantics
Semi Supervised Learning
Serverless
Sms Retriever Api
Sms Verification
Speech Recognition
Swift
Tensorflow Core
Tensorflow Hub
Test Lab
Text
Tokenizer
Tpu
Transformers
UX
UX Design
UX Research
Universal Sentence Encoder
Unsupervised Data Augmentation
Unsupervised Learning
User Experience
Viewmodel
Voice
WWW
Wear OS
WebAssembly
Widget
Women in Tech
WomenTechmakers
android kotlin
app stability
assistant
audio recording
augmented faces
authsub
best practices and updates
billing
botnet
business
c++ games
cancer
chatbot
chrome privacy
codelab
codelabs
competition
daydream
designer
dominio .dev
error handling
event
firebase games
firebase gdc
firebase hosting
firebase unity
game center authentication
game testing
games authentication
gdc
google summer of code
googledevelopers
grow
hashcode
indie
indie developers
internship
kids
machine intelligence
machine learning accelerator
maker
multi-platform
nearby
oauth
openid
performance
persistent AR
privacy sandbox
prizes
prototype
purchase flows
queries
realtime
responsible AI
security rules
showcase
solutions challenge
startup africa roadtrip
startup times
students
summer of code
unity crashlytics
verify apps
win
Archivio Blog
2020
feb
gen
2019
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2018
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2017
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2016
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2015
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2014
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2013
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
Feed
Follow @GoogleDevsItaly